Pesquisadores de segurança divulgaram um novo tipo de vulnerabilidade, chamado DoubleClickjacking, que explora uma sequência de duplo clique para realizar ataques de clickjacking e assumir o controle de contas em quase todos os principais sites. Essa técnica, desenvolvida por Paulos Yibelo, contorna proteções tradicionais contra clickjacking, como o cabeçalho X-Frame-Options e cookies com configurações SameSite: Lax/Strict. O clickjacking convencional consiste em enganar usuários para que interajam com elementos aparentemente inofensivos de uma página web, mas que na realidade acionam comandos maliciosos ou permitem a exfiltração de dados. O DoubleClickjacking amplia esse conceito ao explorar o intervalo de tempo entre os dois cliques em uma sequência de duplo clique.
Essa brecha permite que atacantes manipulem interfaces de usuário (UI) e realizem ações indesejadas com interação mínima do usuário. No ataque, o usuário acessa um site controlado por um atacante, que pode abrir uma nova janela ou aba do navegador. Essa janela exibe algo que parece legítimo, como uma verificação CAPTCHA, e solicita que o usuário realize um duplo clique. Durante o segundo clique, o site utiliza o objeto Window Location do JavaScript para redirecionar silenciosamente o navegador para uma página maliciosa, como a aprovação de um aplicativo OAuth suspeito. Simultaneamente, a janela inicial é fechada, e o usuário, sem perceber, concede permissões ou aprova ações sensíveis.
Esse método é especialmente preocupante porque as soluções tradicionais, como X-Frame-Options, cookies SameSite ou Content Security Policy (CSP), não foram projetadas para lidar com este tipo de exploração baseada em tempo de eventos. Yibelo sugere que proprietários de sites implementem medidas no lado cliente para desativar botões sensíveis por padrão, exceto quando gestos de mouse ou teclas específicas forem detectados. Serviços como Dropbox já utilizam esse tipo de proteção. Em longo prazo, o pesquisador propõe que os navegadores adotem novos padrões, semelhantes ao X-Frame-Options, para defender contra ataques envolvendo duplo clique.